一個令人頭疼的問題,眾所周知x64在patch guard的保護下,不能斷掉eprocess 的Activeprocesslink,因為pg監控著全域變數,斷掉后會在十幾分鐘到幾個小時之間隨機藍屏,但是最近的一款新的軟體名為YDARK的類似Pchunter的監控軟體實作了斷鏈隱藏行程的效果,windbg簡單分析發現他處理了kprocess的processlistentry而不是eprocess 里的link,并且沒有處理pg,沒有使用infinity hook,達到了斷鏈隱藏的效果,與作者簡單交流發現可能利用了pg的監控死角,有沒有大佬幫我解答一下多日以來的疑惑???
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/284092.html
標籤:安全技術/病毒
下一篇:N年前的帳號找回來了
